百兆SJW77网络密码机用户手册

百兆SJW77网络密码机用户手册 SJW77网络密码机——纵向加密 认证装置 用户手册 ，请在使用产品前仔细阅读本手册， 卫士通信息产业股份有限公司 二,0七年制 目 录 1 概述 ........................................................................................................... 1 1.1 产品简介 ................................................................................................................ 1 1.2 产品组成 ................................................................................................................ 1 1.3 主要技术指标 ........................................................................................................ 2 2 安装说明 ................................................................................................... 2 2.1 开箱及开箱前的检查 ............................................................................................. 2 2.2 纵向加密认证装置的安装和启动.......................................................................... 3 3 操作说明 ................................................................................................... 3 3.1 管理程序启动 ........................................................................................................ 3 3.2 系统初始化 ............................................................................................................ 6 3.2.1 产生管理员卡 .................................................................................................. 7 3.2.2 导入根证 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf ..................................................................................................... 8 3.2.3 导入管理员卡证书 .......................................................................................... 8 3.2.4 验证管理员卡 .................................................................................................. 9 3.2.5 产生设备证书 ................................................................................................ 10 3.2.6 导入中心管理员证书 .................................................................................... 11 3.2.7 导入其它设备证书 ........................................................................................ 12 3.2.8 初始化完成 ................................................................................................... 14 3.3 系统管理 .............................................................................................................. 15 3.3.1 网络设置 ....................................................................................................... 15 3.3.2 VLAN设置 .................................................................................................... 17 3.3.3 系统设置 ....................................................................................................... 18 3.3.4 监控设置 ....................................................................................................... 23 3.4 管理员在此设置日志服务器的主机地址及日志接收端口(根据实际需求端口可以任意设置)。认证管理 ........................................................................................... 24 3.4.1 证书管理 ....................................................................................................... 24 3.4.2 用户口令 ....................................................................................................... 26 3.5 隧道管理 .............................................................................................................. 27 3.6 规则管理 .............................................................................................................. 27 3.7 信息查询 .............................................................................................................. 30 3.7.1 设备状态 ....................................................................................................... 30 3.7.2 隧道状态 ....................................................................................................... 33 3.7.3 日志信息 ....................................................................................................... 34 3.7.4 版本信息 ....................................................................................................... 35 3.8 远程监控中心 ...................................................................................................... 36 3.8.1 装置处理 ....................................................................................................... 36 3.8.2 隧道处理 ....................................................................................................... 36 3.8.3 隧道安全策略处理 ........................................................................................ 37 3.8.4 日志处理 ....................................................................................................... 37 4 毁钥及换钥 ............................................................................................. 37 4.1 毁钥管理 .............................................................................................................. 37 4.2 脱线换钥 .............................................................................................................. 38 4.3 在线换钥 .............................................................................................................. 38 5 常见问题及疑难解答 .............................................................................. 38 5.1 系统 ...................................................................................................................... 38 5.1.1 旁路的设置 ................................................................................................... 38 5.1.2 加密机的故障后的恢复 ................................................................................ 39 5.2 网络 ...................................................................................................................... 39 5.2.1 内外网口区分错误 ........................................................................................ 39 5.2.2 接入加密装置后受保护子网之间不通 ......................................................... 39 5.3 证书 ...................................................................................................................... 40 5.3.1 忘记证书配置地址 ........................................................................................ 40 5.3.2 导入证书时报告证书不合法......................................................................... 40 5.3.3 密钥协商失败 ................................................................................................ 40 5.4 异常事项处理 ...................................................................................................... 40 6 产品维护和保养 ..................................................................................... 41 6.1 日常维护和保养 .................................................................................................. 41 6.2 运行时的维护和保养 ........................................................................................... 42 6.3 冷备机上线 .......................................................................................................... 42 6.4 开启硬旁路 .......................................................................................................... 42 6.5 长期停放时的维护和保养 ................................................................................... 43 1 概述 1.1 产品简介 纵向加密认证装置(即SJW77网络密码机，以下统称为纵向加密认证装置)是保护国家电力调度通讯信息的数据加密设备。该设备采用专门的加密封包格式，在IP层实现数据的机密性、完整性和数据源鉴别等安全功能。 纵向加密认证装置采用10M/100M自适应以太网接口，支持各种LAN和WAN线路和拓扑，透明接入用户网络，无须修改用户网络原有配置。 1.2 产品组成 整个纵向加密认证装置系统由纵向加密认证装置、本地管理配置软件、远程监控管理中心三大部分组成，其应用环境网络拓扑图如下所示: RouterRouter 网络密码机网络密码机 InternetSwitchSwitch 远程监控中心子网间加密通信 受保护子网受保护子网 网络密码机应用环境模拟网络图 图 1 - 1 - 纵向加密认证装置是整个安全系统中的主要设备。一般来说，它放置在本地业务系统和外出路由器或交换机之间。它接收本地以及远程监控管理中心的管理，根据它们设置的参数来完成相互之间的加密通信和访问控制，用于安全区的广域网边界保护，可为本地安全区提供一个网络屏障。同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。 纵向加密认证装置本地管理配置软件安装在加密认证装置保护的子网中的某台计算机上。它采用串口通信的方式来配置纵向加密认证装置，包括设置网络参数、访问控制规则、状态查询等。 远程监控管理中心部署在电力数据网上，可通过网络远程对纵向加密认证装置的控制、管理和查询。 1.3 主要技术指标 物理接口:100Base-T，1000Base-X; 通信 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 :以太网，IEEE802.3，IEEE802.1q，10BASE-T，100BASE-Tx; 加密速率:60M/bps; 电气指标:交流220V(+10%,-15%)，50Hz(?3Hz); 物理尺寸:1U机架式结构。 旁路切换直至网络正常时间:25秒 主备切换直至网络正常时间:60秒 重新启动直至网络正常时间:3.5分 2 安装说明 2.1 开箱及开箱前的检查 在产品包装箱内附有产品装箱清单一份，请参见装箱清单检查配件是否完整。 - 2 - 2.2 纵向加密认证装置的安装和启动 在不接入纵向加密认证装置的情况下，保证网络的通畅，然后按照以下几个步骤操作。 1、接入纵向加密认证装置。装置后面板从左向右依次标示有“控制”串口以及“配置”、“心跳”、“外网”、“内网”四个网口。纵向加密认证装置内网口使用直通以太网线接局域网交换机，外网口使用交叉以太网线接路由器; 2、将RJ45串口线接到本地管理机控制口上，打开电源开关; 3、系统启动过程中会对设备进行多项自检，如果不能正常启动会发出报警。 如果是初次使用，需要通过本地管理对网络密码机进行初始配置(具体的配置细节在下一节介绍);如果已经配置好，用户不再需要配置但是可以通过本地管理软件可以查看相关信息。 3 操作说明 纵向加密认证装置的操作包括系统初始化操作及本地管理配置两部分。管理程序启动时会自动检测加密装置的状态，根据加密装置的状态来选择启动初始化程序或者本地管理配置程序。第一次是启动初始化程序，当对加密认证装置完成初始化设置后，以后直接进入本地管理配置程序。 3.1 管理程序启动 安全管理配置软件安装在用户PC机上，与网络密码机通过串口，(串口选择COM1或COM2口)进行连接和通信，用随机配置的串口线将PC机与纵向加密装置的控制口相连。 其连接如图2所示。 - 3 - 图 2 本地管理程序的具体安装 流程 快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计 如下: 1、 插入用户光盘，进入文件夹“本地管理安装程序”。 2、 双击文件夹中的安装执行文件(Setup.exe)。 3、 进入加密装置管理配置系统安装界面。 图 3 4、 选择安装的目录文件。 - 4 - 图 4 5、 安装成功，退出安装界面。 图 5 6、 本地管理程序图标显示如下图。 - 5 - 图 6 双击该图标，启动管理程序，用户需要指定PC机使用的串口(有COM1、COM2、COM3三个选项，如果使用USB转RS232串口线设备，需要安装USB转RS232串口驱动程序)，如图7所示。 图 7 3.2 系统初始化 加密认证装置在使用前必须进行设备的初始化处理，包括根证书的导入、管理员及设备证书的生成等。初始化流程如下: 插入用户IC，输入本地操作员PIN口令 产生本地操作员卡，输出本地操作员卡证操作员纵向加密装置书请求文件 证书签发中心审核、签发，生成本地操作员卡证书证书签发中心操作员根证书、本地操作员证书导入加密装置并 对通过 PIN口令验证本地操作员的合法性。 注:导入根证书的目的是验证管理员及设备证书的 合法性及有效性 生成设备私钥，并导出设备证书请求纵向加密装置证书签发中心 证书签发中心审核、签发，生成设备证书 - 6 - 操作员导入管理中心和其他装置证书，通知纵向加密纵向加密装置装置完成初始化操作 以下是初始化步骤演示: 3.2.1 产生管理员卡 如图8所示，用户首先通过下拉条选择身份为管理员1还是管理员2，输入8位管理员卡口令(口令必须由数字、字母和下划线组成)，然后点击“导出管理员卡证书请求”按钮，导出相应证书请求，并把产生的本地管理卡证书请求上传到证书签发中心进行签发。 图8 - 7 - 3.2.2 导入根证书 用户需要“选择根证书”，并“导入根证书”，此根证书为证书管理中心的根证书，用来验证管理员及设备证书的合法性及有效性。若操作成功，将弹出“导入根证书成功”的提示框，由此进入下一步操作。操作界面如图9所示。 图9 3.2.3 导入管理员卡证书 首先选择管理员身份，然后点击“选择管理员卡证书”按钮，选中由证书管理中心签发的用户证书，最后点击“导入管理员卡证书”按钮，将用户证书导入到加密认证装置中。若操作成功，将弹出“导入管理员卡证书文件成功”的提示框，由此进入下一步操作。操作界面如图10所示。 - 8 - 图10 3.2.4 验证管理员卡 验证管理员卡将对管理员卡的有效性及持卡管理员的身份进行验证。首先选择管理员身份，然后输入8位口令进行验证，点击“确认”按钮。若口令正确，弹出“管理员卡验证通过”，由此进入下一步操作。操作界面如图11所示。 - 9 - 图 11 3.2.5 产生设备证书 点击“产生设备私钥，导出证书请求”按钮，导出加密认证装置的设备证书请求，由证书管理中心签发后再导入到设备中。该操作可以从初始化中直接跳过，在本地管理配置的“认证管理”栏下的“证书管理”功能中再进行配置。操作界面如图12所示。 - 10 - 图12 3.2.6 导入中心管理员证书 此操作将中心管理员的证书导入到加密装置中，需要指定证书的拥有者是中心主管理员或者中心副管理员，中心管理员和中心副管理员证书由证书管理中心统一签发。如果不需要管理中心对该设备进行远程管理，可将该操作跳过。注:需要该设备接受远程管理中心管理时，可通过本地管理配置的“认证管理”栏下的“证书管理”功能中再进行配置管理中心证书。 操作界面如图13所示。 - 11 - 图13 3.2.7 导入其它设备证书 加密装置需要导入其它加密设备的证书，用来进行密钥协商等操作。该操作可以从初始化中直接跳过，在本地管理配置的“认证管理”栏下的“证书管理”功能中再进行配置。界面如图14所示。 - 12 - 图14 - 13 - 3.2.8 初始化完成 图15 点击“结束初始化过程”按钮，弹出“设备初始化成功完成”提示框，“退出”初始化界面(图15)，启动本地管理界面对设备进行本地化管理配置。本地管理配置包括系统管理、认证管理、隧道管理、规则管理及信息查询。登录界面如图16所示。用户需选择适当的管理员身份并输入正确的口令才能进行本地管理配置。 - 14 - 图16 3.3 系统管理 系统管理分为网络设置、VLAN设置、系统设置和监控设置五部分，下面分别对其进行介绍。 3.3.1 网络设置 网络设置包括对网络密码机的网络地址、网络路由及ARP 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 的管理及配置。 网络地址:网络地址管理是对网络密码机的各网口的IP地址进行配置和修改(图17)。 - 15 - 图 17 网络路由:网络路由的功能包括有网关、子网路由及可访问主 机路由的设置及网络路由的显示和删除(图18)。 图 18 - 16 - ARP表:用于查询加密装置的APR信息以及绑定、删除MAC地址(图19)。删除一条ARP信息后，在硬件地址栏会出现“Incomplete”字段，当该地址再此学到MAC地址后，硬件地址栏又回复正常。 图 19 3.3.2 VLAN设置 根据用户实际使用的网络结构，可能需要对加密装置进行VLAN设置。加密装置的VLAN设置包括VLAN的添加、修改及删除。如图20所示为VLAN的添加设置。 - 17 - 图20 VLAN在添加时可以指定VLAN的类型，包括指定地址范围、指定子网和指定接口等形式。 为方便操作，本界面支持右键弹出菜单功能。 3.3.3 系统设置 系统设置包括下列操作:系统备份、系统恢复、系统毁钥、系统重启、显示系统参数及设置系统参数。其中系统备份、系统恢复、系统毁钥三项需要再次确认管理员身份。详细描述如下: 系统备份(图21):对加密装置的重要数据进行本地备份，主要包括规则、隧道等信息。建议用户在配置好后和修改前均进行系统备份，便于以后系统恢复时使用。系统备份是重要操作，备份前需要管理员输入密码。管理员密码验证通过后才能进行备份操作。 - 18 - 图 21 系统恢复(图22):当装置配置参数出现损坏和丢失时，将备份的数据恢复到设备中。进行系统恢复前请用户认真确认系统备份文件的有效性。注意:如果装置之前做过系统毁钥操作，那么毁钥前的系统备份文件无效的。不允许使用毁钥前的系统备份文件进行系统恢复。 - 19 - 图 22 系统毁钥(图23):系统毁钥属于危险性操作，毁钥将会删除系统所有重要数据，包括隧道、规则，系统保存的各种证书、私钥等信息。执行系统毁钥操作后，加密认证装置的状态相当于一台未进行初始化的新设备。如果要使此设备能够重新工作，必须重新初始化系统和进行本地管理配置。注意:系统毁钥属于高危险性操作，毁钥操作之前需确认有必要进行毁钥操作。 - 20 - 图 23 系统重启:系统重启操作将使管理员能够通过管理界面控制加密装置重新启动。 显示系统参数(图24):显示系统参数将显示系统当前重要的参数信息，包括密钥使用的有效时间、密钥设定的最大加密包数、旁路模式及VLAN模式(TRUNK或非TRUNK)。 - 21 - 图 24 设置系统参数:对系统重要参数进行设置，操作界面如图25所示: - 22 - 图25 3.3.4 监控设置 为了方便系统管理员及时了解纵向加密认证装置的各种状态，纵向加密认证装置将定时发送系统日志给日志服务器。如图26所示。 - 23 - 图26 管理员在此设置日志服务器的主机地址及日志接收端口(根据实际需求端口可以任意设置)。 3.4 认证管理 认证管理是对有关用户及设备的合法性及有效性的管理设置。包括证书及口令等的操作。 3.4.1 证书管理 证书管理工作包括装载证书、配置证书、卸载证书及导出证书申请。 装载证书:管理员可以通过此操作向加密认证装置装载设备及中心管理员证书。操作过程中管理员可以同时选择多个证书同时装载。如图27所示为证书的装载界面。 - 24 - 图 27 配置证书:配置证书操作是指为证书绑定地址，每个证书都有与之唯一匹配的地址信息。通过此操作，管理员可以实时地将证书与网络地址进行绑定。如图28所示为证书的配置界面。注意:如果证书之前已经绑定了地址，在对证书绑定的地址修改后需要把原证书对应的隧道删除后，再添加一条新证书绑定地址对应的隧道。 图 28 - 25 - 卸载证书:管理员可以选择证书进行卸载。 导出证书申请(图29):指导出加密认证装置的证书申请，该 证书申请经证书管理中心签发后可导入到设备中。 图 29 为方便操作，本界面支持右键弹出菜单功能。 3.4.2 用户口令 用户口令操作可以修改管理员的本地管理界面登录口令: 图30 - 26 - 3.5 隧道管理 隧道用于定义通信双方的通信参数，并指定一条隧道号用于双方的通信，双方更细化的通信方式由隧道规则定义。隧道可分为实隧道和虚隧道。虚隧道是明通隧道;实隧道根据用户需要，可为明通也可为密通隧道。其定义细节包括:隧道号、隧道名(长度应小于20)、隧道类型、目的地址、备用目的地址及隧道通信模式等。隧道管理包括隧道的添加、更改和删除等操作。 添加(图31):添加一条隧道并设定相关参数。 图 31 删除:选择需要删除的隧道，按删除键将删除指定的隧道。注意:在隧道规则存在的情况下，是不能删掉该隧道的 为方便操作，本界面支持右键弹出菜单功能。 3.6 规则管理 规则管理是对网络密码机的隧道进行详细的定义，定义的细节 - 27 - 包括有地址的设定、端口的设定以及协议、规则、加密状态等的设定。隧道安全规则是基于隧道而定义的，所有规则定义必须指定相应的隧道名。管理设置选择包括规则的添加、更改及删除。 添加(图32):添加一条隧道规则定义。 图 32 更改(图 33):对规则的参数细节进行更改。 - 28 - 图 33 删除(图34):删除指定的规则定义。 图 34 - 29 - 为方便操作，本界面支持右键弹出菜单功能。 3.7 信息查询 通过此操作可以对加密认证装置的状态、日志等信息进行查询，如图35所示。 图 35 3.7.1 设备状态 设备状态包括下列操作:探测设备状态、软硬件状态、设备状态及清除状态(图36)。 - 30 - 图 36 探测设备状态(图37):查询指定IP地址的设备的状态信息。包括该设备的旁路模式、接口状态及主备信息等。 图 37 - 31 - 软硬件状态(图38):查询加密认证装置运行的各种软件信息(S代表sleeping——睡眠，W代表waiting——等候，R代表running——运行)及加密卡硬件状态。 图 38 设备状态(图39):查询加密认证装置的设备状态信息。该信息包括有设备的工作模式、主备信息、加解密数据包数、加解密发生错误次数及协商数据包的一些相关信息。 - 32 - 图 39 清除状态:清除设备的状态信息。包括已加密数据包总数、已解密数据包总数、加密发生错误次数、解密发生错误次数、已发送协商数据包总数、已接受正确协商数据包总数、接受错误协商数据包总数全部清零。 3.7.2 隧道状态 查询隧道的各种状态信息。管理员也可以指定隧道，设定刷新时间，动态的进行隧道状态的查询。操作界面如图40所示。 - 33 - 图40 通过右键菜单操作，用户可以与指定隧道对应的对端加密认证设备进行密钥协商。 3.7.3 日志信息 日志信息包括对操作日志进行查看、保存及删除操作。如果日志数目较多，可以点击下一页进行查看， 如图41所示。 - 34 - 图 41 3.7.4 版本信息 版本信息提供对当前设备运行系统的版本号和校验码的查看(图42)。 - 35 - 图 42 3.8 远程监控中心 通过电力调度网络远程管理、配置和查询纵向加密认证装置，便于装置的集中管理(注:远程管理中心由国家电网公司指定厂商进行设计生产) 3.8.1 装置处理 提供对网络密码机的整体控制，包括以下两个功能。 ? 查询装置状态:用于查询网络密码机的工作模式，加解密数据包数目，加解密错误数目，密钥协商数据包数目等; ? 重启装置:用于重启网络密码机。 3.8.2 隧道处理 提供对网络密码机的隧道进行管理，包括以下五个功能。 ? 设置隧道工作模式:设置隧道的工作模式，可以选择:密通， - 36 - 明通，可选模式; ? 查询已设置隧道:查询已经设置的隧道，其中包括:隧道证书号，对端IP地址，隧道工作模式; ? 添加隧道:根据用户需要添加隧道，需要设置对端IP地址，隧道工作模式; ? 查询隧道状态:用于查询该隧道的工作状态，其中主要包括:安全策略数目，模式，会话密钥协商状态，加解密数据包数目，加解密错误数目，密钥协商数据包数目等; ? 重置隧道:初始化隧道状态，等待建立隧道。 3.8.3 隧道安全策略处理 提供对网络密码机的隧道安全策略进行管理，包括以下三个功能。 ? 查询隧道安全策略:查询该隧道安全策略的要素，主要包括两端地址，端口号，方向，协议，处理方式等; ? 添加隧道安全策略:根据用户需要添加隧道安全策略; ? 删除隧道安全策略:根据用户需要删除对应的隧道安全策略。 3.8.4 日志处理 提供对网络密码机的安全日志进行查询。 4 毁钥及换钥 4.1 毁钥管理 在本地管理配置的“系统管理”栏中的“系统设置”下有一功能“系统毁钥”，属于危险性操作，执行该功能需要管理员身份认证。因为毁钥将会删除系统所有重要数据，包括隧道、规则、系统保存的各种证书、私钥等信息。执行系统毁钥操作后，加密认证装置的状态相当于一台未进行初始化的新设备。如果要使此设备能够重新 - 37 - 工作，必须重新初始化系统和进行本地管理配置。 4.2 脱线换钥 通过证书更新来实现脱线换钥的功能，主要是针对设备证书的更新。如果设备证书进行了重新签发，只需要导入新的设备证书，不需要其余的修改。 4.3 在线换钥 密钥协商，其方式分为两种: 人工协商:由管理员通过管理界面提供的密钥协商功能(参看本地管理配置的“隧道状态”中“与对端设备密钥协商”功能)进行操作; 自动协商:密钥协商程序根据设置的协商时间(参看本地管理配置中“系统管理”下的“设置系统参数”功能)定时自动协商，缺省为24个小时或者100000个数据包，用户可以修改。 5 常见问题及疑难解答 5.1 系统 5.1.1 旁路的设置 本加密装置的旁路分为硬旁路和软旁路两种。硬旁路指的是，按下加密机背后的旁路按钮，此时，加密机在物理上被跳开，内网网卡直接相连。软旁路指的是在隧道上面设置，让本隧道规则范围内的数据包以明文的方式转发到网络中，加密机不对设置旁路的隧道加解密。 硬旁路的开启与关闭 开启:按下加密机背后的旁路按钮以后，加密机就自动旁路。 加密机内外网口指示灯熄灭。 - 38 - 关闭:按起加密机背后的旁路按钮。加密机恢复到正常状态， 旁路关闭。各指示灯正常。 软旁路的开启。 开启:进入本地管理程序，在隧道管理里面，单击需要旁路的隧道的“加密方式”一栏，将加密方式改为明文模式。 关闭:进入本地管理程序，在隧道管理里面，单击需要旁路的隧道的“加密方式”一栏，将加密方式改为密文模式。 5.1.2 加密机的故障后的恢复 死机:加密机会自动重启，重启完成后，加密机恢复正常进行正常的加解密。 双电源中的其中一个电源出现故障:加密机发出“嘀——”的报警声，电力由另一个电源提供，加解密工作不受影响。 掉电:电力恢复后，加密机会自动启动，启动完成后，加密机恢复正常进行正常的加解密。 5.2 网络 5.2.1 内外网口区分错误 在搭建网络时，很容易把纵向加密认证装置的内外网口区分错误。这样会导致纵向加密认证装置无法正常的工作，原因的查找也很不方便。因此在使用前，一定要仔细阅读手册的$2.2，确认内外网口的位置。 5.2.2 接入加密装置后受保护子网之间不通 在配置好加密装置后接入网络，发现受保护子网之间不通。出现这种情况的原因很多。主要有以下几种: ? 网络本身问题。有时候用户网络本身就不通，这时候可以通过分段ping、抓包分析、tracert(路由追踪)等方法，首先判断用户网络本身是否有故障，以及数据包是在何处被丢弃的。 - 39 - ? 密钥不一致。有时候在需要通信的两台加密装置之间密钥可能出现不一致，导致加解密错误。解决这个问题可以采取两个办法:利用界面的手动密钥协商功能重新发起协商; 隧道策略配置错误，管理员需要保证安全策略的配置正确无误。 5.3 证书 5.3.1 忘记证书配置地址 在添加对端设备证书时，很容易忘记配置设备证书对应的IP地址。这样会导致纵向加密认证装置密钥协商不成功。因此在添加设备证书的时候一定要准确配置证书的地址。 5.3.2 导入证书时报告证书不合法 可能是由于不是一个根证书签发的证书导致。因此在系统初始化导入根证书的时候一定要保证该证书就是签发其他证书用的CA的证书。 5.3.3 密钥协商失败 如果出现密钥协商失败，主要可能有以下几个原因: ?网络没有连通。这需要技术人员根据实际网络予以判断。本地管理界面提供了一个探测对方的功能，可以作为一个判断方法。 ?没有配置对方证书。管理员添加隧道的时候不是从下拉列表中选取的对方装置地址，而是自己手动填写的地址。如果发现某条隧道不能进行密钥协商，检查是否将证书与IP地址进行绑定。 以上这些错误都在日志中可以反映出来，技术人员可以通过日志来分析可能出现故障的原因。 5.4 异常事项处理 如果有不正常现象发生，请从以下几方面进行检查: ? 电缆配置和连接是否正确。 ? 所用电缆线是否已损坏。 - 40 - ? 指示灯是否正常: 网卡指示灯——绿色常亮表示正常，灯未亮表示网未连通或者网卡异常;有数据传输时指示绿灯闪烁。 IC卡读卡器指示灯——IC卡插入正常，该指示灯为绿色;IC卡插入不到位或者异常，该指示灯为红色;正常读写操作过程中橙色闪烁。 电源指示灯——系统加电后红色常亮为正常;若电源故障指示灯不亮。 告警灯——系统启动自检过程中，显绿色;引导内核文件时，橙色闪烁;启动完成后正常情况下，该指示灯不亮;若加密机异常，指示灯为橙色。 状态指示灯——引导内核文件时，红色闪烁;系统启动后，正常工作时，显绿色;系统未初始化则显示橙色。此状态灯不指示加密机的异常情况。 加密卡指示灯——系统启动自检过程中显示绿色;加密卡正常情况下为橙色，若为橙色闪动则表示加密卡在工作，正在进行加解密。 其他的情况，请与卫士通公司的售后服务人员联系。 6 产品维护和保养 6.1 日常维护和保养 , 应确保设备的使用环境干净、干燥。 , 请勿剧烈振动、摇晃或用力敲打设备。 , 避免在过高或过低温度的环境下使用设备，避免设备暴露在 强烈日光下或湿度较高的环境中。 , 请保持设备远离强电磁场，远离水源及灰尘较多的地方使 用。 - 41 - , 应保证本设备供电电源的接地良好，防止静电。对于电压不 稳定的地区，建议配备稳压电源。 , 清洁设备时，请勿使用化学制品擦拭机身,如:汽油、稀释 剂等。 , 当设备出现故障时，应立即切断电源，停止使用。请勿私自 拆开或维修，应及时与我所客户服务部门联系。 6.2 运行时的维护和保养 , 在工作过程中，请勿直接插拔设备，以免数据损坏或丢失。 , 设备运行过程中，应注意防震和防压，以免引起设备工作不 正常。 , 请勿在带电状态下插拔本设备及外设。(USB接口设备可支 持带电插拔) , 请勿将与本设备配套使用的IC卡插到其它IC卡设备及系统 中使用。 6.3 冷备机上线 , 在使用环境中，出现主机故障需冷备机上线时，需保证，冷 备机已经开机，并且启动完毕。此时只需直接将主机内网口 网线拔下，插入冷备机的内网口中;将主机外网口网线拔下， 插入冷备机的外网口中。 6.4 开启硬旁路 , 开启:按下加密机背后的旁路按钮以后，加密机就自动旁路。 加密机内外网口指示灯熄灭。 , 关闭:按起加密机背后的旁路按钮。加密机恢复到正常状态， 旁路关闭。各指示灯正常。 - 42 - 6.5 长期停放时的维护和保养 , 本密码设备长期不用时，应每隔三个月进行一次开机检查， 并连续加电8小时以上，以防密码机内部存储的关键数据丢 失。 , 设备长期停放时，注意防潮、防虫、防腐蚀等。 - 43 -